Varsayılan durumda bir bilgisayarın “Computer Management” konsoluna uzaktan erişim sağlayabilmek için o bilgisayara ait bir yönetici hesabının kimlik bilgileri gerekmektedir. Bu bilgisayarda yönetici olan hesabın adının Vedat, Vedat kullanıcısının parola özetinin ise AAD3B435B51404EEAAD3B435B51404EE:FA320A5CF3D53B4E74BBAC73047186F2 olduğunu varsayalım. Bu bilgilerle, hedef sistemin “Computer Management” konsoluna erişim sağlamak için WCE aracı kullanılacaktır.
WCE aracının “-s” seçeneği ile, RAM üzerinde bulunan oturumun NTLM kimlik bilgileri değiştirilebilir. Normalde RAM üzerinde Saldirgan adlı hesabın parolasının açık hali ve özet hali bulunmaktadır:
wce -l
wce -w
WCE aracı ile RAM üzerindeki oturuma ait NTLM bilgileri Vedat hesabına ait kimlik bilgileri (Kullanıcı adı ve parola özeti) ile değiştirilebilir. WCE aracı “-s” seçeneği ile çalıştırıldıktan sonra, Saldirgan hesabına ait parolanın NTLM özet bilgilerinin, Vedat’ın parolasına ait NTLM özet bilgileri ile değiştiği görülmektedir. Bunun yanında parolanın açık halinin değişmediği de görülmektedir.
wce -s WORKGROUP:Vedat:AAD3B435B51404EEAAD3B435B51404EE:FA320A5CF3D53B4E74BBAC73047186F2
wce -l
wce -w
Hedef sistemin paylaşılan kaynaklarına (yönetimsel paylaşımlarına) erişim sağlayabilmek için, öncelikle bağlantının kurulması gerekmektedir.
net use \\172.16.67.202\C$ /USER:WORKGROUP\Vedat
net use
Bağlantı kurulduktan sonra, hedef sistemin servislerine “Computer Management > Action > Connect to another computer…” adımları ile erişilebilir.
Açılan pencereye erişim sağlanabilecek bilgisayarın IP adresi girilir.
Böylece, hedef sistemin kullanıcı hesapları ve grupları listelenebilmektedir. Bu konsolda istenilen kullanıcı veya grup (yetkiler dahilinde) eklemesi, silinmesi, değiştirilmesi gerçekleştirilebilir. Yeni bir hesap oluşturmak için konsolda “New User” ceçimi gerçekleştirilir.
Yeni kullanıcıya ait bilgiler yazılır.
Yeterli yetkiler mevcut ise, kullanıcı eklenmiş olur.